ГОСТ Р ИСО/МЭК 27033-1—2011
7 Идентификация рисков и подготовка к идентификации мер и средств
контроля и управления безопасностью
7.1 Введение
Как показано в разделе 6. первым этапом идентификации и оценки рисков, связанных с сетями, и
подготовки к идентификации мер и средств контроля и управления безопасностью является сбор ин
формации о текущей и (или) планируемой сетевой среде.
Рекомендации по сбору информации о текущей и(или) планируемой сетевой среде представлены
в 7.2. Вторым этапом является идентификация и оценка рисков сетевой безопасности и соответствую
щих потенциальных областей действия мер и средств контроля иуправления, рекомендации по которо
му представлены в 7.3.
7.2 Информация о текущем и (или) планируемом построении сети
7.2.1 Требования безопасности в корпоративной политике информационной безопасности
Корпоративная политика информационной безопасности организации (или сообщества) может
включать в себя утверждение о необходимости обеспечения конфиденциальности, целостности, неот-
казуемости и доступности, а также суждения о видах угроз и рисков и мерах и средствах контроля и
управления сетевой безопасностью, которыедолжны быть реализованы независимо от оцененных рис
ков. Первым шагом построения сети должно быть рассмотрение корпоративной политики информаци
онной безопасности с целью получения подробностей о любых связанных с сетями рисках, которые
всегда будутрассматриваться как высокие, и мерах, средствах контроля иуправления сетевой безопас
ностью. которые должны быть реализованы.
Например, такая политика может констатировать, что:
- главной задачей является доступность определенных видов информации или услуг;
- все соединения через коммутируемые линии запрещены;
- все соединения с Интернетом должны осуществляться через шлюз безопасности;
- должен использоваться определенный вид шлюза безопасности;
- платежное поручение недействительно без цифровой подписи.
Данные требования должны учитываться при осуществлении оценки риска и проводимой руково
дством организации проверки иидентификации аспектов специализированной архитектуры/проекта бе
зопасности и потенциальных мер и средств контроля и управления безопасностью. Любые подобные
требования должны быть документированы в предварительном списке потенциальных областей при
менения мер и средств контроля и управления и. при необходимости, отражены в вариантах специали
зированной архитектуры/проекта безопасности.
Рекомендации по политике информационной безопасности изложены в ИСО/МЭК 27002 и
ИСО/МЭК 27005.
7.2.2 Информация о текущем/планируемом построении сети
7.2.2.1 Введение
Следующим шагом должен быть сбор и проверка информации о текущей(их) и (или) планируе-
мой(ых) сети(ях) — архитектуру), приложениях, услугах, видах соединений и других характерис
тиках— это будет иметь отношение к идентификации и оценке рисков и определению того, что
является возможным с точки зрения специализированной архитектуры/проекта сетевой безопасности.
Указанные характеристики представлены ниже.
7.2.2 2 Сетевые архитектуры, приложения и сервисы
Должны быть получены подробности о соответствующей текущей и (или) планируемой сетевой
архитектуре, приложениях и сервисах, которые должны быть проверены в целях обеспечения необхо
димого понимания и контекста для осуществления оценки риска сетевой безопасности и проводимой
руководством проверки и. исходя из этого, рассмотрения вариантов специализированной архитектуры
сетевой безопасности. В результате прояснения этихаспектов насамой ранней стадии процесс иденти
фикации и оценки рисков безопасности, соответствующих мер и средств контроля и управления безо
пасностью. вариантов специализированной архитектуры сетевой безопасности и принятия решения о
том. какой из этих вариантов следует выбрать, должен стать более эффективным и в итоге привести к
более рациональному решению по обеспечению безопасности.
Кроме того, рассмотрение текущих и (или) планируемых аспектов сетевой архитектуры, приложе
ний и сервисов на ранней стадии предоставит время для проверки и возможной модификации этих ас-
13